由於其針對虛擬機器的勒索軟體出現了新的改進變種,Agenda 勒索軟體組織在全球範圍內不斷增加感染。
Agenda(又名 Qilin 和 Water Galura)於 2022 年首次被發現。它的第一個基於 Golang 的勒索軟體被用於針對各種目標:從加拿大到哥倫比亞和印尼的醫療保健、製造和教育領域。
到 2022 年底,Agenda 的所有者重寫了其惡意軟體 Rust,一門有用的語言 適用於希望跨作業系統傳播其工作的惡意軟體作者。透過 Rust 變體,Agenda 能夠危害金融、法律、建築等領域的組織,主要是在美國,但也在阿根廷、澳洲、泰國和其他地方。
就在最近,趨勢科技發現 新的 Agenda 勒索軟體變種 在野外。這個基於 Rust 的最新版本配備了各種新功能和隱形機制,並將其目標瞄準了 VMware vCenter 和 ESXi 伺服器。
「針對 ESXi 伺服器的勒索軟體攻擊呈現成長趨勢,」趨勢科技資深威脅研究員 Stephen Hilt 指出。 “它們是勒索軟體攻擊的有吸引力的目標,因為它們通常託管關鍵系統和應用程序,並且成功攻擊的影響可能是巨大的。”
新議程勒索軟體
據趨勢科技稱,Agenda 感染量從去年 12 月開始增加,可能是因為該組織現在更加活躍,也可能是因為它們更有效。
當勒索軟體二進位檔案透過 Cobalt Strike 或遠端監控和管理 (RMM) 工具傳遞時,感染就開始了。二進位檔案中嵌入的 PowerShell 腳本允許勒索軟體在 vCenter 和 ESXi 伺服器之間傳播。
一旦正確傳播,惡意軟體就會更改所有 ESXi 主機上的 root 密碼,從而鎖定其所有者,然後使用 Secure Shell (SSH) 上傳惡意負載。
這種新的、更強大的 Agenda 惡意軟體與其前身俱有相同的功能:掃描或排除某些檔案路徑、透過 PsExec 傳播到遠端電腦、在執行有效負載時精確逾時等等。但它還添加了許多新命令,用於升級權限、模擬令牌、禁用虛擬機器叢集等。
一項瑣碎但對心理產生影響的新功能允許駭客列印勒索信,而不是僅僅將其顯示在受感染的顯示器上。
攻擊者透過 shell 主動執行所有這些不同的命令,使他們能夠執行惡意行為,而不會留下任何檔案作為證據。
為了進一步增強其隱密性,Agenda 也藉鑒了勒索軟體攻擊者最近流行的趨勢—— 自帶易受攻擊的驅動程式 (BYOVD) — 使用易受攻擊的 SYS 驅動程式來逃避安全軟體。
勒索軟體風險
勒索軟體曾經是 Windows 獨有的,現已在全球盛行 Linux 和大眾軟體 乃至 MacOS,這要歸功於公司在這些環境中保留了多少敏感資訊。
「組織在 ESXi 伺服器上儲存各種數據,包括客戶數據、財務記錄和智慧財產權等敏感資訊。他們還可能在 ESXi 伺服器上儲存關鍵系統和應用程式的備份。」Hilt 解釋道。勒索軟體攻擊者會利用此類敏感訊息,其他威脅參與者可能會使用這些相同的系統作為進一步網路攻擊的啟動板。
趨勢科技在報告中建議面臨風險的組織密切關注管理權限,定期更新安全產品,執行掃描和備份數據,對員工進行社會工程教育,並勤勉地進行網路衛生。
Hilt 補充說:「推動降低成本和保留本地部署將導致組織進行虛擬化並使用 ESXi 等系統來虛擬化系統,」因此虛擬化網路攻擊的風險可能只會繼續增長。
